WWBN AVideo — видеоплатформа с открытым исходным кодом. Версии 25.0 и ниже уязвимы для перехвата приложения без проверки подлинности через конечную точку install/checkConfiguration.php. install/checkConfiguration.php выполняет полную инициализацию приложения: настройку базы данных, создание учетной записи администратора и запись файла конфигурации — все из неаутентифицированного ввода POST. Единственный охранник проверяет, существует ли уже файл videos/configuration.php.
В неинициализированных развертываниях любой удаленный злоумышленник может завершить установку с использованием учетных данных, контролируемых злоумышленником, и базы данных, контролируемой злоумышленником, получив полный административный доступ. Эта проблема исправлена в версии 26.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Versions 25.0 and below are vulnerable to unauthenticated application takeover through the install/checkConfiguration.php endpoint. install/checkConfiguration.php performs full application initialization: database setup, admin account creation, and configuration file write, all from an unauthenticated POST input. The only guard is checking whether videos/configuration.php already exists. On uninitialized deployments, any remote attacker can complete the installation with attacker-controlled credentials and an attacker-controlled database, gaining full administrative access. This issue has been fixed in version 26.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
26.0
|